Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Распоряжение мэра г. Улан-Удэ Республики Бурятия от 27 августа 2020 г. N 9-р О мерах по обеспечению информационной безопасности и приведению деятельности органов местного самоуправления г. Улан-Удэ в соответствие с требованиями ФСТЭК России
- Приложение N 2. Опросник на соответствие требованиям информационной безопасности
Приложение N 2. Опросник на соответствие требованиям информационной безопасности
Приложение N 2
к Распоряжению
Мэра г. Улан-Удэ
от 27.08.2020 N 9-р
Опросник на соответствие требованиям информационной безопасности для (структурное подразделение) Администрации г. Улан-Удэ (заполняется структурным подразделением совместно с системным администратором)
|
1. |
Организационные мероприятия и документация |
Ответы (да/нет) |
Примечания |
|
|
Кадровое обеспечение информационной безопасности |
|
|
|
|
Наличие структурного подразделения или должностного лица (специалиста), ответственного за реализацию мер защиты информации |
|
|
|
|
Соответствие работников, ответственных за защиту информации, квалификационным характеристикам |
|
|
|
|
Определен представитель руководства, курирующий обеспечение ИБ |
|
|
|
|
Планирование мероприятий по обеспечению информационной безопасности |
|
|
|
|
Планы мероприятий по обеспечению информационной безопасности в СПА разрабатываются и утверждаются |
|
|
|
|
По истечении планового периода готовится отчет о реализации плана, проводится анализ причин неисполнения пунктов плана |
|
|
|
|
Допуск работников к сведениям ограниченного доступа |
|
|
|
|
Соблюдаются требования Порядка о доступе к ИР |
|
|
|
|
Разработана и ведется матрица допуска к информационным, программным и аппаратным ресурсам на уровне структурных подразделений (заполняется совместно с системным администратором) |
|
|
|
|
Должностные инструкции специалистов соответствуют фактически выполняемым задачам |
|
|
|
|
Участие руководителя СПА в работах по обеспечению ИБ |
|
|
|
|
Эффективность и достаточность мер, принимаемых руководством СПА для достижения показателей по ИБ и обеспечения соответствия необходимому уровню ИБ |
|
|
|
|
Проводится анализ типовых нарушений требований в области ИБ, принимаются меры по исключению подобных нарушений в подчиненных СПА |
|
|
|
|
Результаты (акты, выписки) проверок, проводимых регуляторами (ФСБ, ФАПСИ, Роскомнадзор) |
|
|
|
|
Информационное письмо для Роскомнадзора сформировано, отправлено (в случае необходимости) |
|
|
|
|
Соблюдение Регламента Службы ИБ |
|
|
|
|
Применяются стандартные (общепринятые) в подразделении средства защиты информации |
|
|
|
|
Для всех типовых организационно-распорядительных документов (ОРД) разработаны частные редакции |
|
|
|
2. |
Нормативно-методическая работа |
|
|
|
|
Разработка основных локальных (частных) организационно-распорядительных документов |
|
|
|
|
Документ, определяющий порядок управления идентификаторами, средствами аутентификации (аутентификационной информацией) и учетными записями пользователей |
|
|
|
|
Документ, определяющий порядок управления доступом к информационным, программным и аппаратным ресурсам СПА |
|
|
|
|
Документ, определяющий порядок использования съемных носителей информации, мобильных технических средств, персональных вычислительных устройств |
|
|
|
|
Документ, определяющий порядок обеспечения защиты СПА от вредоносного программного обеспечения (вирусов) |
|
|
|
|
Документ, определяющий порядок пропускного и внутриобъектового режима |
|
|
|
|
Документ, определяющий порядок ведения ДСП-делопроизводства в СПА |
|
|
|
|
Осведомленность работников в вопросах ИБ |
|
|
|
|
Разработана и внедрена процедура, определяющая порядок обеспечения осведомленности работников подразделения в вопросах обеспечения ИБ и контроля их знаний и навыков |
|
|
|
|
Частная редакция Памятки работника по ИБ разработана и доводится до всех работников подразделения |
|
|
|
|
Специальные редакции Памятки по ИБ, адаптированные под роли работников, разработаны и доводятся до соответствующих работников подразделения |
|
|
|
|
С новыми работниками проводится первичный инструктаж основам обеспечения ИБ в подразделении |
|
|
|
|
Всеми работниками подписывается Обязательство о неразглашении информации ограниченного доступа |
|
|
|
|
С работниками в течение испытательного срока (3 месяца) проводится подробный инструктаж (тренинг), раскрывающий и поясняющий положения Памятки работника по ИБ |
|
|
|
|
Проводятся регулярные (периодические) мероприятия по контролю знаний и навыков работников в вопросах ИБ |
|
|
|
|
Проводится периодическое плановое информирование работников СПА об угрозах безопасности информации, пользователями, о мерах по предотвращению вирусных заражений, правилах работы с электронной почтой и сетью Интернет, правилах эксплуатации средств защиты информации |
|
|
|
|
Проводятся регулярные (периодические) мероприятия по контролю знаний и навыков пользователей в вопросах ИБ в течение работы (после испытательного срока) |
|
|
|
|
Проводится обучение пользователей работе со средствами защиты информации |
|
|
|
|
Ведется журнал учета знаний и навыков работников, учитывающий все виды обучений (тренингов) |
|
|
|
|
Установлен формальный дисциплинарный процесс, применяемый в отношении работников, совершивших нарушение политики безопасности |
|
|
|
3. |
Управление процессами и технические меры обеспечения ИБ |
|
|
|
|
Управление ресурсами |
|
|
|
|
Ведется учет информационных ресурсов, к которым предоставляется доступ (в т.ч. только администраторам) |
|
|
|
|
Ведется учет технологических ресурсов и сервисов |
|
|
|
|
Разработана и внедрена процедура управления доступом к ресурсам (полномочиями пользователей ИС) |
|
|
|
|
Ведется журнал регистрации и учета заявок на предоставление доступа к ресурсам |
|
|
|
|
Обоснованность заявок на доступ к ресурсам проверяется |
|
|
|
|
Пользователи ознакомлены с правилами и ограничениями при использовании ресурсов |
|
|
|
|
Матрица доступа разработана и поддерживается в актуальном состоянии |
|
|
|
|
Фактические права доступа к ресурсам соответствуют согласованным (заявкам) |
|
|
|
|
Права доступа к ресурсам актуальны (соответствуют текущим должностным обязанностям) |
|
|
|
|
Осуществляется учет технологических (используемых для обеспечения работоспособности сервисов) учетных записей |
|
|
|
|
Определен перечень прав доступа, предоставляемых пользователям по умолчанию при трудоустройстве |
|
|
|
|
Роли пользователей унифицированы (выделены типовые наборы объектов доступа и соответствующие им типы и полномочия доступа к ним) |
|
|
|
|
Обеспечение сохранности информационных ресурсов |
|
|
|
|
Определены лица, ответственные за резервное копирование и восстановление информации |
|
|
|
|
Определены массивы данных, которые подлежат обязательному резервному копированию |
|
|
|
|
Разработан и внедрен регламент резервного копирования и восстановления информации |
|
|
|
|
Разработана инструкция оператора резервного копирования и восстановления информации |
|
|
|
|
Регламент резервного копирования и восстановления информации исполняется |
|
|
|
|
Проводятся периодические проверки корректности резервных копий и возможности восстановления из них массивов данных |
|
|
|
|
Носители информации с резервными копиями хранятся отдельно (в отдельном хранилище) от основных носителей информации |
|
|
|
|
Осуществляется мониторинг работоспособности средств хранения информации и анализ признаков возможных сбоев |
|
|
|
|
Осуществляется периодическая проверка работоспособности средств резервного копирования, средств хранения резервных копий и средств восстановления информации из резервных копий |
|
|
|
|
Осуществляется регистрация событий, связанных с резервным копированием и восстановлением информации с резервных носителей информации |
|
|
|
|
Обеспечение целостности информационных ресурсов и технологических данных |
|
|
|
|
Определен перечень данных и мест их хранения, не подлежащих изменению в процессе обработки информации |
|
|
|
|
Определена процедура по защите (контролю) целостности данных, не подлежащих изменению в процессе обработки информации |
|
|
|
|
Обеспечивается контроль целостности данных, не подлежащих изменению в процессе обработки информации (в ручном режиме) |
|
|
|
|
Обеспечивается контроль целостности данных, не подлежащих изменению в процессе обработки информации (в автоматизированном режиме) |
|
|
|
|
Управление реквизитами доступа |
|
|
|
|
Определены должностные лица, ответственные за управление учетными записями и паролями |
|
|
|
|
Проведена классификация ИС по сложности паролей |
|
|
|
|
Определена и применяется процедура присвоения идентификатора (именования) пользователям и устройствам |
|
|
|
|
Определена и соблюдается процедура заведения, модификации и удаления учетных записей |
|
|
|
|
Ведется учет выданных идентификаторов пользователей (логических, физических) и устройств |
|
|
|
|
Определена и соблюдается процедура выдачи первичных значений паролей |
|
|
|
|
Определена и соблюдается процедура смены паролей (замены средств аутентификации) с установленной периодичностью |
|
|
|
|
Пароли, полученные от администратора, изменяются пользователем при первом входе в ИС |
|
|
|
|
Определена и соблюдается процедура восстановления паролей |
|
|
|
|
Пароли к учетным записям не хранятся на материальных или машинных носителях, а в случае хранения соблюдаются меры по их защите от НСД |
|
|
|
|
Физические средства идентификации (токены) хранятся с соблюдением мер по их защите от НСД |
|
|
|
|
Персональные учетные записи используются только их владельцем |
|
|
|
|
Совместно используемые учетные записи используются только четко определенным кругом лиц |
|
|
|
|
Пароль к персональной учетной записи известен только владельцу |
|
|
|
|
Осуществляется блокирование временных учетных записей пользователей по окончании установленного периода времени для их использования |
|
|
|
|
Осуществляется блокирование (аннулирование) неактивных (неиспользуемых) учетных записей пользователей после определенного периода времени неиспользования, а также при увольнении, изменении обязанностей и т.д. |
|
|
|
|
Проводится периодический анализ активных учетных записей и их полномочий |
|
|
|
|
Осуществляется мониторинг использования учетных записей |
|
|
|
|
Использование съемных носителей и мобильных устройств |
|
|
|
|
Установлен порядок использования в пределах контролируемой зоны (на ОИ) съемных носителей информации и мобильных устройств |
|
|
|
|
Определена и соблюдается процедура управления (учет, выдача/получение) съемных носителей информации и мобильных устройств |
|
|
|
|
Осуществляется маркировка носителей информации |
|
|
|
|
Определены категории пользователей, имеющих право использования съемных носителей информации и мобильных устройств |
|
|
|
|
Осуществляется контроль наличия зарегистрированных съемных носителей информации и мобильных устройств |
|
|
|
|
Осуществляется регулярный контроль использования съемных носителей информации и мобильных устройств |
|
|
|
|
По окончании использования носители информации или информация, хранящаяся на них, уничтожаются установленным порядком |
|
|
|
|
Осуществляется контроль перемещения съемных носителей информации и мобильных устройств за пределы контролируемой зоны |
|
|
|
|
Осуществляется контроль использования персональных устройств связи и обработки информации пользователями |
|
|
|
|
Для хранения съемных машинных носителей и мобильных устройств, содержащих конфиденциальную информацию, используются специально оборудованные хранилища (сейфы, шкафы, и т.п.) |
|
|
|
|
Несъемные машинные носители информации хранятся в опечатанных системных блоках (с ведением соответствующего журнала учета), в которые они стационарно установлены и которые располагаются в помещениях, предназначенных для проведения работ |
|
|
|
|
Запрещено подключение к ИС сотовых телефонов и иных устройств с включенными механизмами доступа к сети Интернет |
|
|
|
|
Использование сети Интернет и электронной почты |
|
|
|
|
Определены и соблюдаются правила подключения АРМ и компонентов ИС к сети Интернет |
|
|
|
|
Определены и соблюдаются правила использования сети Интернет |
|
|
|
|
Доступ пользователей к сети Интернет обоснован их должностными обязанностями |
|
|
|
|
Ведется учет технических средств (точек взаимодействия), подключенных к сети Интернет |
|
|
|
|
Ведется учет пользователей, имеющих право доступа к сети Интернет |
|
|
|
|
Пользователи ознакомлены под роспись с документом, описывающим требования по обеспечению ИБ при работе с сетью Интернет |
|
|
|
|
Осуществляется контроль использования сети Интернет |
|
|
|
|
Определены и соблюдаются правила обмена электронной корреспонденцией с внешними абонентами, использования внешних почтовых сервисов |
|
|
|
|
Обеспечение безопасности при использовании средств вычислительной техники (СВТ) |
|
|
|
|
Осуществляется контроль доступа пользователей к интерфейсам ввода/вывода |
|
|
|
|
Осуществлено разделение ролей и полномочий пользователей, системных администраторов и администраторов информационной безопасности |
|
|
|
|
Для системных администраторов выделены отдельные автоматизированные рабочие места (АРМ) |
|
|
|
|
Для администраторов ИБ выделены отдельные автоматизированные рабочие места (АРМ) |
|
|
|
|
Неиспользуемые порты ввода-вывода опечатаны |
|
|
|
|
Корпусы системных блоков АРМ и серверов опечатаны (опломбированы) |
|
|
|
|
Доступ в BIOS СВТ заблокирован посредством установки пароля |
|
|
|
|
В BIOS СВТ, на которых не предполагается использование съемных устройств, отключены порты ввода-вывода |
|
|
|
|
Соблюдается политика "чистого стола" в отношении бумажных документов и сменных носителей информации и политика "чистого экрана" в отношении средств обработки информации |
|
|
|
|
Материальные атрибуты доступа (токены, смарт-карты) не допускается оставлять в легкодоступных посторонним лицам местах |
|
|
|
|
В случае записи реквизитов доступа на носитель (бумага, файл на машинном носителе информации) такой носитель должен храниться в надежном месте, исключающем несанкционированной доступ к нему со стороны третьих лиц |
|
|
|
|
Пользователи (всех категорий) осуществляют блокировку (выключение) АРМа при оставлении рабочего места без присмотра |
|
|
|
|
Осуществляется контроль доступа к защищаемым АРМ со стороны неуполномоченных лиц |
|
|
|
|
В ИТ-инфраструктуре используется только лицензионное, специализированное (разработанное по заказу Администрации г. Улан-Удэ) или свободно распространяемое программное обеспечение, при этом используемое свободно распространяемое программное обеспечение согласовано с МКУ УИиИР |
|
|
|
|
Утверждены и поддерживаются в актуальном состоянии перечни разрешенного и запрещенного ПО |
|
|
|
|
Дистрибутивы ПО, разрешенного к использованию, проверяются на аутентичность до размещения их в фонде алгоритмов и программ СПА |
|
|
|
|
Проводится периодический контроль установленного ПО на предмет соответствия его перечням разрешенного и запрещенного ПО |
|
|
|
|
Определены ограничения на действия персонала (пользователей, администраторов, обеспечивающего персонала) с СВТ, в т.ч. на изменение состава и конфигурации технических средств и ПО |
|
|
|
|
Права на каталоги (файлы), содержащие сведения, доступ к которым ограничен, установлены таким образом, чтобы доступ к ним имели только уполномоченные пользователи |
|
|
|
|
Функциональные возможности браузеров и иных программных средств для хранения и автоматического ввода паролей не используются |
|
|
|
|
Обеспечивается двухфакторная аутентификация на критичных АРМ |
|
|
|
|
Применяются все средства защиты информации, поставленные или закупленные в инициативном порядке |
|
|
|
|
Правила разграничения доступа (на СЗИ (средства защиты информации), встроенных механизмах ЗИ) настроены, поддерживаются в актуальном состоянии |
|
|
|
|
Регистрация и мониторинг и анализ событий безопасности |
|
|
|
|
Определен перечень событий, подлежащих регистрации, и сроки их хранения |
|
|
|
|
Обеспечивается сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
|
|
|
|
Обеспечивается сохранность зарегистрированных событий |
|
|
|
|
Осуществляется выявление и реагирование на сбои при регистрации событий безопасности |
|
|
|
|
Приняты меры по защите журналов доступа от несанкционированного просмотра и модификации |
|
|
|
|
Осуществляется мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
|
|
|
|
Управление инцидентами информационной безопасности |
|
|
|
|
Определены лица, ответственные за выявление инцидентов и реагирование на них |
|
|
|
|
Определен перечень (классификатор) возможных инцидентов в области ИБ |
|
|
|
|
Осуществляется анализ событий, выявление (обнаружение) и идентификация инцидентов |
|
|
|
|
Осуществляется (пользователями и администраторами) своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в ИС |
|
|
|
|
Разработана и используется схема оповещения о [критичных] инцидентах в области ИБ |
|
|
|
|
Определена и реализована процедура реагирования на инциденты ИБ (сообщения о признаках инцидентов ИБ) |
|
|
|
|
Ведется журнал учета инцидентов ИБ и принятых мер реагирования на них |
|
|
|
|
Осуществляется анализ выявленных инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий |
|
|
|
|
Осуществляется планирование и принятие мер по устранению инцидентов (последствий инцидентов), по предотвращению повторного возникновения инцидентов |
|
|
|
|
Контроль (мониторинг) состояния информационной безопасности |
|
|
|
|
Утвержден план проведения контрольных мероприятий |
|
|
|
|
Утверждена программа проведения контрольных мероприятий |
|
|
|
|
Определена и реализована процедура контроля (мониторинга) за обеспечением уровня защищенности информации, фиксации соответствующих результатов |
|
|
|
|
Осуществляется контроль действий пользователей в ИС |
|
|
|
|
Контроль (мониторинг) информационной безопасности осуществляется в соответствии с планом и программой |
|
|
|
|
По результатам контроля (мониторинга) за обеспечением уровня защищенности информации принимаются решения, в т.ч. о совершенствовании системы защиты информации |
|
|
|
|
Проводится периодический анализ изменения угроз безопасности информации в информационной системе, возникающих в ходе ее эксплуатации, и принятие мер защиты информации в случае возникновения новых угроз безопасности информации |
|
|
|
|
Проводится периодический |